Tin tặc Triều Tiên khai thác lỗ hổng độc đáo trên Mac để nhắm vào các dự án tiền điện tử
Phần mềm độc hại tinh vi này né tránh các biện pháp bảo vệ bộ nhớ của Apple và cài đặt một phần mềm đánh cắp thông tin nhắm vào ví tiền điện tử.
Tin tặc Triều Tiên đang triển khai các chủng mới của phần mềm độc hại được thiết kế đặc biệt cho các thiết bị Apple, nhắm vào các công ty tiền điện tử trong chiến dịch tấn công mạng gần đây của họ.
Những kẻ tấn công, giả danh là những người đáng tin cậy trên các nền tảng nhắn tin như Telegram, lừa nạn nhân tham gia một cuộc họp Zoom giả mạo thông qua liên kết Google Meet. Sau đó, họ gửi một tệp cập nhật Zoom có vẻ hợp pháp cho nạn nhân.
Phần mềm độc hại Nimdoor nhắm vào máy tính Mac
Khi thực hiện cái gọi là 'cập nhật', phần mềm độc hại được biết đến với tên 'NimDoor' sẽ được cài đặt trên máy Mac của nạn nhân, tập trung vào việc đánh cắp ví tiền điện tử và mật khẩu trình duyệt.
Ngược lại với niềm tin phổ biến, máy tính Mac không miễn dịch với các cuộc tấn công như vậy, cho thấy cảnh quan mối đe dọa an ninh mạng đang phát triển.
Mặc dù phương pháp tấn công không mới, việc sử dụng ngôn ngữ lập trình Nim cho phần mềm độc hại là bất thường, làm phức tạp việc phát hiện bởi phần mềm bảo mật.
Các nhà nghiên cứu đã lưu ý, 'Mặc dù giai đoạn đầu của cuộc tấn công tuân theo mẫu quen thuộc của DPRK sử dụng kỹ thuật xã hội, kịch bản câu dẫn và cập nhật giả, việc sử dụng các tệp nhị phân được biên dịch bằng Nim trên macOS là một lựa chọn khác thường hơn.'
Nim đang thu hút sự chú ý của tội phạm mạng nhờ tính linh hoạt trên Windows, Mac và Linux mà không cần sửa đổi, cho phép tin tặc tạo ra phần mềm độc hại phổ quát.
Ngoài ra, Nim biên dịch nhanh thành các tệp thực thi độc lập và rất khó phát hiện.
Tin tặc Triều Tiên trước đây đã thử nghiệm sử dụng Go và Rust, nhưng Nim cung cấp các lợi thế đáng kể, theo các chuyên gia an ninh mạng.
Phần tải trọng đánh cắp thông tin
Phần tải trọng của phần mềm độc hại bao gồm một phần mềm đánh cắp thông tin đăng nhập được thiết kế để trích xuất và đưa ra ngoài dữ liệu trình duyệt và hệ thống một cách lặng lẽ.
Nó cũng nhắm vào cơ sở dữ liệu mã hóa cục bộ của Telegram và các khóa cần thiết để giải mã.
Để tránh bị phát hiện, phần mềm độc hại trì hoãn kích hoạt trong mười phút sau khi cài đặt.
Máy Mac cũng dễ bị tổn thương
Các báo cáo từ các công ty an ninh mạng cho thấy các cuộc tấn công phần mềm độc hại tương tự đã được liên kết với nhóm tin tặc được nhà nước Triều Tiên tài trợ 'BlueNoroff'.
Khả năng của phần mềm độc hại vượt qua các biện pháp bảo vệ bộ nhớ của Apple và tiêm phần tải trọng đã thu hút sự quan tâm đặc biệt từ các nhà nghiên cứu.
Nó được sử dụng để ghi lại các phím nhấn, quay màn hình, và lấy lại nội dung bảng tạm, và bao gồm một phần mềm đánh cắp thông tin toàn diện có tên CryptoBot, cụ thể nhắm vào việc đánh cắp tiền điện tử bằng cách xâm nhập vào các tiện ích mở rộng trình duyệt và plugin ví.
Gần đây, một công ty bảo mật blockchain đã cảnh báo về một chiến dịch độc hại rộng rãi liên quan đến nhiều tiện ích mở rộng Firefox giả mạo được thiết kế để đánh cắp thông tin đăng nhập ví tiền điện tử.
Các nhà nghiên cứu từ các công ty an ninh mạng đã kết luận, 'Trong vài năm qua, chúng tôi đã thấy macOS trở thành mục tiêu lớn hơn cho các diễn viên đe dọa, đặc biệt là đối với các cuộc tấn công được tài trợ bởi nhà nước với mức độ tinh vi cao,' phá vỡ quan niệm rằng máy Mac không bị virus.
Theo Cointelegraph
Tin khác
